Παρασκευή, 23 Σεπτεμβρίου 2016

Πρέπει να εμπιστεύεστε το λογισμικό ασφαλείας που χρησιμοποιείτε;

key ασφαλείας ασφαλείας

Εδώ στο iGuRu.gr αναφέρουμε συχνά ότι ασφάλεια στο διαδίκτυο δεν υπάρχει και φυσικά υπάρχουν πάρα πολλοί που συμφωνούν. Οι εταιρείες ξοδεύουν δισεκατομμύρια δολάρια κάθε χρόνο για να αγοράσουν ενημερωμένα προϊόντα ασφάλειας και όμως οι επιθέσεις στον κυβερνοχώρο και οι παραβιάσεις δεδομένων δεν σταματούν. Τελευταία μάλιστα ανακαλύφθηκαν και «αξιόπιστα εργαλεία ασφαλείας» που περιείχαν τρωτά σημεία!
Πρόσφατα, το Project Zero της Google αποκάλυψε ένα σωρό τρωτά σημεία κρίσιμης σημασίας σε δύο προϊόντα ασφάλειας που χρησιμοποιούν δωδεκάδες επιχειρήσει και καταναλωτές από τη Symantec και το εμπορικό της σήμα Norton.
Τα κενά επέτρεπαν σε hackers να αποκτήσουν πλήρη έλεγχο σε υπολογιστές που χρησιμοποιούσαν τις εφαρμογές με την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που σερβίρουν κακόβουλο αυτοαναπαραγόμενο κώδικα σε δίκτυα, ακόμη και αν αυτά τα μηνύματα δεν ανοιχτούν ποτέ και κανείς δεν πατήσει τις συνδέσεις που περιέχουν, σύμφωνα με τον ερευνητή Tavis Ormandy του Project Zero της Google.
Ο Ormandy έχει ανακαλύψει στο παρελθόν κενά ασφαλείας σε προϊόντα ασφαλείας εταιριών πολύ υψηλού προφίλ, όπως: Kaspersky, FireEye, ESET, Comodo, McAfee και Trend Micro.
Όπως καταλαβαίνετε από τα παραπάνω, έχουμε φτάσει σε μια εποχή που είναι αδύνατο να εμπιστευτούμε προϊόντα που υποτίθεται ότι μπορούν να διατηρήσουν τα δεδομένα μας ασφαλή. Η βιομηχανία ασφαλείας που έχει στηθεί φαίνεται να αντιμετωπίζει σοβαρά προβλήματα με παραλείψεις που βάζουν σε κίνδυνο τους πελάτες της.
Οι προμηθευτές φυσικά μέχρι σήμερα δεν φαίνεται να λογοδοτούν, αν και θα έπρεπε να λογοδοτήσουν για τα κενά ασφαλείας που ανακαλύφθηκαν στα προϊόντα τους και θέτουν τους πελάτες τους σε κίνδυνο. Είναι διαφορετικό πρόβλημα αν τα προϊόντα που πωλούν δεν αναγνωρίζουν κάποια απειλή και εντελώς άλλο όταν τα προϊόντα που διαθέτουν στην αγορά παρέχουν «παράθυρο» πρόσβασης στους επιτιθέμενους.
Ο κ. Ormandy αναφέρει πολύ σωστά, ότι το λογισμικό ασφαλείας θα πρέπει να επωφεληθεί από τεχνικές όπως το περιβάλλον δοκιμών (sandboxing) που μπορεί να βοηθήσει στον έλεγχο των δραστηριοτήτων του κακόβουλου κώδικα. Και θα πρέπει όλοι να έχουν συγκεκριμένο κύκλο ζωής ανάπτυξης με τις βέλτιστες πρακτικές ασφαλείας, όπως αυτές που ξεκίνησε η Microsoft και η Cigital. Οι προμηθευτές θα πρέπει, επίσης, να αναζητούν για τα τρωτά σημεία στον σχεδιασμό των προϊόντων τους που μπορούν να χρησιμοποιηθούν από επιτιθέμενους να εκμεταλλευτούν νόμιμα χαρακτηριστικά ή λειτουργίες για να θέσουν σε κίνδυνο συστήματα. Οι προμηθευτές θα πρέπει να ιεραρχήσουν την ασφάλεια στα προϊόντα τους και δεν θα πρέπει να υπάρχει καμία δικαιολογία όταν δεν το κάνουν.
Όμως όταν βρεθούν τρωτά σημεία, ο πάταγος δεν διαρκεί πολύ. Η διαπόμπευση στα μέσα ενημέρωσης κρατάει ελάχιστα, ενώ θα έπρεπε να κινηθούν κάποιες αγωγές ή να αλλάξει η νομοθεσία, για να γίνουν τα πράγματα καλύτερα.
Μετά από όλα τα παραπάνω: Πως μπορείτε να προστατευτείτε; Μάλλον θα πρέπει να ελαχιστοποιήσετε την έκθεσή σας στο διαδίκτυο προσαρμόζοντας καλύτερα τη νοοτροπία σας. Έτσι μάλλον ζητούμενο είναι το να έχετε ρεαλιστικές προσδοκίες.

Μην υποθέσετε ότι τα προϊόντα ασφάλειας είναι ασφαλή

Οι εταιρείες θα πρέπει να εφαρμόσουν πολιτικές ασφαλείας σε όλα τα εργαλεία ασφάλειας που χρησιμοποιούν. Αυτό σημαίνει ότι θα πρέπει να απαιτούν από τους πωλητές την παροχή αυτοματοποιημένων επιδιορθώσεων, σε βάθος εξέταση των υποδομών τους και pen-testing σε όλα τα προϊόντα ασφαλείας.

Υποθέστε ότι το δίκτυο σας θα παραβιαστεί

Ακόμα και όταν τα προϊόντα ασφαλείας που χρησιμοποιείτε λειτουργούν όπως διαφημίζεται, αυτό δεν σημαίνει ότι πιάνουν όλες τις απειλές. Η διαδικτυακή κοινότητα και οι εταιρείες θα πρέπει να προετοιμαστούν για την πιθανότητα παραβίασης (που είναι όλο και περισσότερο είναι μια πραγματικότητα).
Παραδοσιακά προϊόντα antivirus που ελέγχουν συστήματα με τον προσδιορισμό συγκεκριμένων υπογραφών κακόβουλου λογισμικού, όταν αλλάζουν οι υπογραφές, (κάτι που συμβαίνει συνεχώς), τα malware δεν αναγνωρίζονται.
Η ευθύνη
Η βιομηχανία ασφαλείας έχει την ευθύνη εφόσον υπόσχεται ασφάλεια, στο να είναι σίγουρη ότι τα προϊόντα ασφάλειας που πωλούνται όχι μόνο λειτουργούν όπως θα έπρεπε, αλλά δεν βάζουν και τον τελικό χρήστη σε κίνδυνο ανοίγοντας διάπλατα backdoors στους hackers.
Και η ουτοπία
Οι προμηθευτές προϊόντων ασφαλείας θα πρέπει να λειτουργούν σαν πρότυπα για ολόκληρο τον κλάδο της τεχνολογίας με την ανάπτυξη ασφαλούς λογισμικού για την αποκατάσταση της πίστης των πελατών τους.


iguru.gr 
Blog Widget by LinkWithin
Related Posts Plugin for WordPress, Blogger...